Adatgyilkos féregvírus

A fertőzött e-mail paraméterei

Tárgy: ˝Click YES and vote against war!˝
Tartalom: egy HTML állomány

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 25.
Utolsó frissítés ideje: 2003. február 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 17.370 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehoz egy üres Visual Basic Scriptet a Windows könyvtában, mely egy hét karakterből véletlenszerűen megalkotott néven kerül a merevlemezre
– hozzáadja a [file-név] ˝wscript.exe /Windows/[file-név].vbs %˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehoz egy beágyazott VBS kóddal bíró HTML állományt, mely felmásolja a férget a Windows könyvtárba és futtatja is
– bemásolja magát a Kazaa megosztott könyvtárába a következő neveken:
Silvia Saint Gangbang.avi.vbs
Britney Spears nude.jpg.vbs
Christina Aguilera Nipple.jpg.vbs
Lolita.jpg.vbs
Madonna – Song.mp3.vbs
Jennifer Lopez.mp3.vbs
– minden olyan levelet kitöröl az Outlook Inboxából, melynek tárgya: Click YES and vote against war!
– a fent ismertetett formátumú e-mailt szétküldi az Address Bookban található kontaktok számára
– hozzáadja a HKEY_CURRENT_USER/Lisa/Mail Registry kulcsot a rendszerleíró adatbázishoz, majd annak ad egy 1-es értéket
– létrehoz 5 ezer (!), véletlenszerűen generált könyvtárat a C meghajtó gyökerében
– minden egyes, az előbb létrehozott könyvtárban alkot egy szöveges állományt is, mely a következőt tartalmazza: I will never stop loving you.
– átnézi a merevlemezt mirc.ini állomány után kutatva, amennyiben talál, megkísérel IRC-n keresztül is elterjedni
– VBS vagy VBE file-ok után keres, amennyiben talál, megfertőzi azokat saját VBS kódjával
– megpróbálja letörölni az összes DOC állományt
– letörli a Regedit.exe file-t
– amennyiben a fertőzés már három napnál régebbi, letörli a következő állományokat a Windows könyvtárból: User.dat, User.bak, System.dat, System.bak, Win.ini
– a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer Registry kulcs NoDesktop bejegyzésének értékét 00000001-re állítja
– hozzáadja a format c: /q /autotest sort az autoexec.bat állomány végére (csak Windows 9x/Me alatt hatásos)